Cyberrisiken sind eine der größten Herausforderungen für Unternehmen. Judit Tumpek von KOBAN SÜDVERS erläutert im Interview mit IT WELT.at, warum Cyberversicherungen essenziell sind und welche Strategien Unternehmen gegen Bedrohungen einsetzen sollten. [...]
Die Digitalisierung hat die Geschäftswelt revolutioniert, bringt jedoch auch erhebliche Risiken mit sich. Von Ransomware-Angriffen über Datenschutzverletzungen bis hin zu Systemausfällen – die Bedrohungslage wird immer komplexer. Cyberversicherungen gelten zunehmend als essenzieller Baustein im Risikomanagement. Doch wie lassen sich Cyberrisiken effektiv absichern, und was können Unternehmen tun, um ihre Widerstandsfähigkeit zu stärken? KOBAN SÜDVERS unterstützt Unternehmen aller Größen in Versicherungsfragen – von Risikoanalyse und Risikotransfer bis zur Schadensabwicklung. Über 50.000 österreichische Privat- und Firmenkunden sowie öffentliche Körperschaften vertrauen auf die Expertise des Unternehmens.
Wie hat sich der Markt für Cyberversicherungen in den letzten Jahren entwickelt, und welche Faktoren tragen Ihrer Meinung nach dazu bei, dass sich die Bedrohungslage trotz verstärkter Sicherheitsmaßnahmen weiterhin verschärft?
Cyberversicherungen dienen grundsätzlich dazu, Cyberrisiken abzusichern – und darunter fallen alle Risiken, die im Zusammenhang mit der Digitalisierung und der Vernetzung von Systemen entstehen. Interessanterweise sind Cyberversicherungen etwa genauso alt wie die Cyberrisiken selbst. Das Risikoumfeld entwickelt sich jedoch äußerst dynamisch und wir sehen eine stetige Zunahme an Risiken.
Auch wenn sowohl Unternehmen als auch Privatpersonen zunehmend Maßnahmen zum Schutz ihrer digitalen Sicherheit ergreifen, bleibt die Lage komplex. Es geht nicht nur darum, Risiken abzusichern, sondern auch darum, dass diese aufgrund neuer Technologien wie Social Engineering immer schwieriger zu kontrollieren sind.
Besonders in diesem Jahr stellt die Künstliche Intelligenz (KI) eine große Herausforderung dar, da Cyberkriminelle verstärkt auf deren Einsatz setzen. Techniken wie Deepfakes und Social Engineering werden immer raffinierter, was die Gefahr für Unternehmen und Privatpersonen erhöht. Oft wird angenommen, dass Cyberrisiken rein technischer Natur sind, doch tatsächlich handelt es sich um eine Mischung aus technischen, organisatorischen und menschlichen Faktoren.
Welche Elemente sollten Ihrer Meinung nach in einem umfassenden Cybersicherheitskonzept unbedingt enthalten sein, um Unternehmen wirksam zu schützen?
Obwohl viele Unternehmen ihre Mitarbeiter zunehmend schulen, sind die Methoden der Cyberkriminellen mittlerweile so professionell, dass selbst gut geschultes Personal auf Betrugsmaschen hereinfallen kann. Dies zeigt, dass ein umfassender Ansatz zur Cybersicherheit – der sowohl Technik als auch organisatorische Maßnahmen und menschliches Verhalten berücksichtigt – unerlässlich ist.
Cyberrisiken umfassen nicht nur Angriffe oder Bedrohungen durch Cyberkriminelle, sondern auch technische Ausfallrisiken. Im Bereich der Cyberversicherungen sprechen wir ähnlich wie in der Cybersecurity vom CIA-Ansatz – das bedeutet, dass Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen gewährleistet werden müssen. So definieren wir Cyberrisiken.
Ein Beispiel hierfür ist der Vorfall mit CrowdStrike und Microsoft im Juli, der als Cyber-Inzident eingestuft wurde. Dieser Vorfall zeigt, dass Cyberrisiken nicht immer durch bösartige Angriffe verursacht werden, sondern auch durch technische Fehler oder Ausfälle entstehen können. Wenn ein Unternehmen über eine gut ausgestattete Cyberversicherung verfügt, sind solche Vorfälle, wie etwa die finanziellen Folgen eines Softwarefehlers, oft abgedeckt.
Wie können sich Unternehmen durch Versicherungen schützen? Welche Herausforderungen gibt es dabei?
Ein effektiver Schutz beginnt mit einem umfassenden Cyber-Risiko-Management. Unternehmen müssen potenzielle Risiken identifizieren und bewerten. Im Rahmen dieses Managementprozesses können dann entsprechende Absicherungsmaßnahmen getroffen werden. Eine Cyberversicherung sollte jedoch als letzte Verteidigungslinie betrachtet werden.
Die Versicherung dient dazu, Restrisiken abzudecken – also jene Risiken, die trotz präventiver Sicherheitsmaßnahmen und Vorbeugung nicht vollständig vermieden werden können. Wenn diese Restrisiken zu einem Vorfall führen, kann dies operative Schäden nach sich ziehen, die wiederum finanzielle Folgen haben. Die Versicherung schützt dann vor diesen verbleibenden Risiken und hilft, die finanziellen Verluste zu mindern.
Wir sehen Cyberversicherungen eindeutig als Ergänzung zu Maßnahmen der Risikoprävention und Risikominimierung. Dabei geht es nicht nur um die klassische Versicherungsleistung in Form von Zahlungen, sondern insbesondere auch um Assistenzleistungen. Diese umfassen operative Unterstützung im Schadensfall, also Soforthilfe bei der Krisenbewältigung.
Ein zentraler Aspekt ist die Unterstützung im Krisenmanagement. Hier spielen vier wesentliche Komponenten eine Rolle:
- Cyber-Hotline: Unternehmen erhalten Zugang zu einer Cyber-Hotline, die rund um die Uhr erreichbar ist. Unsere Erfahrung zeigt, dass IT-Verantwortliche immer mehr den Wert eines spezialisierten Teams im Schadensfall erkennen. Oft wissen Unternehmen in den ersten Minuten oder Stunden nach einem Vorfall nicht, wie sie vorgehen sollen – sie erkennen nur, dass „nichts mehr funktioniert“. Hier bietet die Cyber-Hotline sofortige Unterstützung durch ein Netzwerk von Experten.
- Expertennetzwerk: Sobald die Hotline kontaktiert wird, koordiniert ein Krisenberater ein Team von Fachleuten. Diese Experten unterstützen nicht nur bei der Schadensursachenanalyse, Forensik und Incident Response, sondern auch in der Krisenkommunikation und rechtlichen Beratung.
- Rechtliche Unterstützung: Insbesondere bei Datenschutzverletzungen (Data Breaches) stellen sich sofort rechtliche Fragen: Muss ich den Vorfall melden? Wen muss ich informieren? Die Experten helfen bei der Kommunikation mit Behörden und bei der Information der betroffenen Personen.
- Krisenkommunikation und PR: Ein weiterer wichtiger Aspekt ist die Öffentlichkeitsarbeit im Krisenfall. Unternehmen benötigen klare Strategien, um sowohl rechtliche Anforderungen zu erfüllen als auch die Kommunikation gegenüber der Öffentlichkeit zu steuern, um Vertrauensverluste zu minimieren.
Diese Assistenzleistungen sind entscheidend, um IT-Verantwortliche zu entlasten und sicherzustellen, dass Unternehmen im Krisenfall schnell und effektiv reagieren können.
Welche Strategien haben sich in der Praxis bewährt, um sowohl Kunden als auch Mitarbeitern gegenüber transparent zu bleiben, ohne dabei unnötige Reputationsschäden zu riskieren?
Im Bereich der Dienstleistungen sehen wir einen großen Vorteil darin, Unternehmen bei der Bewältigung von Ransomware-Schadenfällen zu unterstützen. In den letzten Jahren kam es vermehrt zu Vorfällen, bei denen Lösegeld gefordert und Systeme vollständig oder teilweise verschlüsselt wurden. In solchen Situationen stehen Geschäftsführungen oft vor der schwierigen Frage, wie sie mit dem Vorfall nach außen umgehen sollen.
Eine zentrale Herausforderung ist die Kommunikation mit Kunden, insbesondere wenn das Unternehmen lahmgelegt ist und tagelang weder produzieren noch liefern kann. Ich habe selbst mehrere Unternehmen bei solchen Vorfällen begleitet, und dabei stellte sich immer wieder die Frage, ob und wie der Vorfall kommuniziert werden soll. Es gibt Unternehmen, die sich dazu entschließen, offen mit dem Vorfall umzugehen, was man auch aus den Medien kennt. Andere hingegen möchten den Vorfall lieber nicht veröffentlichen.
Ein weiterer wichtiger Aspekt ist die interne Kommunikation, insbesondere gegenüber den eigenen Mitarbeitern. Hier geht es nicht nur darum, Transparenz zu schaffen, sondern auch darum, potenzielle Folgeschäden zu vermeiden. Die Art und Weise, wie ein Unternehmen intern und extern kommuniziert, spielt eine entscheidende Rolle bei der Bewältigung der Krise und der Vermeidung zusätzlicher Reputationsschäden.
Welche Rolle spielt die Incident Response bei Cyberangriffen, und wie können Unternehmen sicherstellen, dass sie im Ernstfall effektiv unterstützt werden, insbesondere wenn es um die Wiederherstellung von Backups und die Verhandlung mit Angreifern geht?
Von der technischen Seite her spielt die Incident Response eine entscheidende Rolle. Im Falle eines Angriffs wird Unternehmen ein forensisches Expertenteam zur Seite gestellt, das bei der forensischen Untersuchung hilft und gemeinsam mit dem Unternehmen die notwendigen Entscheidungen trifft – etwa wann und wie Backups wiederhergestellt werden können, sofern diese vorhanden sind. Wenn Backups existieren und erfolgreich eingespielt werden können, besteht die Chance, dass kein Lösegeld gezahlt werden muss.
Sollten jedoch keine funktionierenden Backups vorhanden sein, zeigt die Erfahrung, dass es in solchen Fällen dennoch sinnvoll ist, mit den Angreifern zu verhandeln, anstatt sofort das geforderte Lösegeld zu zahlen. Oft können Experten durch Verhandlungen den Betrag erheblich reduzieren. Es gibt spezialisierte Fachleute, die sich genau auf diese Lösegeldverhandlungen konzentrieren und den gesamten Prozess professionell abwickeln. Sollte eine Zahlung erforderlich werden, bieten Versicherungen in vielen Fällen Unterstützung bei der Abwicklung an.
Lösegeldzahlungen sollten jedoch nicht beworben werden, auch wenn sie rechtlich noch zulässig sind. Der eigentliche Vorteil liegt darin, dass Experten versuchen, die Zahlungen zu minimieren und nach Möglichkeit Alternativen zu finden, wie etwa die Wiederherstellung von Daten ohne Zahlung. Zudem konzentriert sich die Arbeit darauf, Sicherheitslücken zu schließen, um zukünftige Angriffe zu verhindern.
Selbst wenn die Wiederherstellung erfolgreich ist und der Betrieb nach ein bis zwei Tagen wieder aufgenommen werden kann, entstehen dennoch Kosten, die berücksichtigt werden müssen. Dazu gehören Wiederherstellungskosten, externe Dienstleistungen sowie der Verlust durch Betriebsunterbrechungen. Ein weiterer wesentlicher Kostenfaktor ist die Einhaltung von Datenschutzanforderungen, wie etwa die Meldung von Datenschutzverletzungen an die Behörden und die betroffenen Personen.
Die Cyberversicherung kann hier eine wichtige Rolle spielen, indem sie diese Kosten übernimmt und so Unternehmen entlastet.
Welche Voraussetzungen müssen Unternehmen erfüllen, um eine Cyberversicherung abschließen zu können? Worauf müssen sie achten?
Vor der Pandemie, also vor 2020, lag der Fokus von Cyberversicherungen eher auf den wirtschaftlichen Kennzahlen und der allgemeinen Funktionsweise eines Unternehmens. Technische und organisatorische Präventivmaßnahmen wurden nur oberflächlich geprüft. Doch mit dem Ausbruch der COVID-19-Pandemie und der zunehmenden Umstellung auf Homeoffice-Modelle änderte sich die Situation grundlegend. Bereits abgeschlossene Versicherungspolicen wurden in Anspruch genommen, und die Versicherer sahen sich plötzlich mit zahlreichen Schadensfällen konfrontiert, was zu erheblichen Auszahlungen führte.
Seitdem haben die Versicherer ihre Vorgehensweise angepasst und achten nun verstärkt darauf, wie gut ein Unternehmen in Sachen Cybersecurity aufgestellt ist. Dieser Prozess erfolgt in der Regel entweder durch detaillierte Fragebögen oder durch einen Risiko-Dialog. Auf den ersten Blick mag das für Unternehmen aufwendig erscheinen, doch wir sehen darin auch eine Chance: Es ermöglicht eine unabhängige Überprüfung der bestehenden Cybersecurity-Maßnahmen aus einer externen Perspektive.
Wo sehen Sie noch Verbesserungsbedarf?
Ein Bereich, dem viele Unternehmen leider zu wenig Aufmerksamkeit schenken, ist das Patchmanagement. Wenn Systeme nicht regelmäßig aktualisiert werden, entstehen kritische Schwachstellen. In Österreich sind zudem noch viele Altsysteme im Einsatz, die nicht mehr unterstützt werden. Diese sogenannten End-of-Life-Systeme gelten für Versicherer als No-Go, da für sie keine Patches mehr eingespielt werden können und sie somit leicht von Angreifern ausgenutzt werden können.
Die Anforderungen der Versicherer basieren auf dem aktuellen Stand der Cybersecurity und den Erfahrungen aus Schadensfällen. Insbesondere im Bereich Ransomware haben Versicherer bereits zahlreiche Vorfälle bearbeitet und dabei festgestellt, wie wichtig ein vollständiges und funktionsfähiges Backup ist. Unternehmen, die über keine gesicherten Backups verfügen, riskieren erhebliche Schäden und längere Ausfallzeiten.
Doch es geht nicht nur um technische Maßnahmen. Ein weiterer, oft unterschätzter Aspekt ist die Schulung der Mitarbeiter. Versicherer gewähren heutzutage nur dann Versicherungsschutz, wenn die Mitarbeiter eines Unternehmens mindestens einmal jährlich zu Themen wie Datenschutz, Cybersicherheit und Informationssicherheit geschult werden. Idealerweise werden diese Schulungen durch Phishing-Kampagnen und regelmäßige Tests ergänzt. Diese Maßnahmen sind entscheidend, da sie das Bewusstsein der Mitarbeiter schärfen und dazu beitragen, potenzielle Sicherheitslücken zu schließen.
Darüber hinaus gibt es auch rechtliche Vorgaben, die berücksichtigt werden müssen. Die Datenschutz-Grundverordnung (DSGVO) sowie die kommende NIS2-Richtlinie (Network and Information Security) enthalten viele Überschneidungen, was die Anforderungen an die Cybersicherheit betrifft. Im besten Fall stellt dies für Unternehmen keine zusätzliche Belastung dar, sondern wird als integraler Bestandteil ihrer bestehenden Risikomanagement-Strategie angesehen.
Wie schätzen Sie den Markt für Cyberversicherungen in Österreich ein, insbesondere in Bezug auf KMUs?
Es ist eine Herausforderung, Unternehmen in Österreich entsprechend abzusichern, insbesondere wenn es um kleine und mittlere Unternehmen (KMU) geht. Wir sehen, dass viele KMUs noch nicht ausreichend aufgestellt sind, um Cyberrisiken effektiv zu begegnen. Die Versicherer bieten daher unterschiedliche Modelle an, je nach Größe und Risikoprofil des Unternehmens.
Wie geht eine Versicherung vor, wenn ein Unternehmen noch nicht alle Voraussetzungen für den Versicherungsschutz erfüllt?
Versicherer entwickeln verschiedene Produkte, die speziell auf kleinere Unternehmen zugeschnitten sind. Für kleine Unternehmen gibt es oft vereinfachte Antragsmodelle, bei denen nur wenige Fragen beantwortet werden müssen. In diesen Fällen wird eine maximale Versicherungssumme von etwa einer Million Euro angeboten. Hier nehmen die Versicherer ein gewisses Risiko in Kauf, da diese Unternehmen möglicherweise anfälliger für Schadenfälle sind. Allerdings stehen kleine Unternehmen oft weniger im Fokus von Cyberkriminellen.
Im Bereich der mittelständischen Unternehmen ist die Situation komplexer. Hier versuchen wir, eine Balance zwischen vereinfachten Antragsmodellen und einem umfassenden Risikodialog zu finden. Diese Unternehmen haben häufig ein höheres Geschäftsrisiko, da sie beispielsweise automatisierte Produktionsanlagen nutzen und stark vernetzt sind. Gleichzeitig verfügen sie oft noch nicht über die Ressourcen eines Großunternehmens, wie etwa einen eigenen Chief Information Security Officer (CISO). Die Verantwortung für Cybersecurity liegt hier meist bei den IT-Verantwortlichen, die ohnehin stark ausgelastet sind.
Dies stellt eine Herausforderung dar, da mittlere Unternehmen bereits einem erheblichen Risiko ausgesetzt sind, aber oft nicht die notwendige interne Expertise besitzen, um sich optimal abzusichern. In solchen Fällen stellen wir gezielte Fragen, um das Risiko besser einschätzen zu können. Allerdings ist der Aufwand hier geringer als bei Großkunden: Es muss nicht zwingend ein 20-seitiger Fragebogen ausgefüllt werden, noch erfordert es stundenlange Risikodialoge. Bei Großunternehmen hingegen ist eine tiefergehende Risikoanalyse notwendig, die von diesen Unternehmen jedoch auch geschätzt wird, da sie ihre Sicherheitslage präzise verbessern können.
Wie gehen Sie vor, um die Cybersicherheitsanforderungen von Unternehmen zu bewerten, und welche Herausforderungen bestehen, wenn diese Anforderungen nicht erfüllt werden?
Wir bei Koban haben einen Fragebogen entwickelt, der die wichtigsten Themen zur Cybersicherheit abfragt und sich auch für einen Self-Check eignet. Wenn ich diesen auswerte und feststelle, dass zu viele Mindestanforderungen nicht erfüllt sind, versuche ich dennoch, eine Versicherungslösung zu finden. Allerdings weise ich den Kunden darauf hin, dass es in solchen Fällen sehr schwierig sein kann, eine Police zu erhalten – insbesondere nicht ohne hohen Selbstbehalt oder erhöhte Prämien.
In der Regel gebe ich ein detailliertes Feedback: Bei den meisten Anfragen, die wir erhalten, ist es durchaus möglich, eine geeignete Versicherungslösung zu finden. Allerdings hängt dies stark von der Erfüllung der Sicherheitsanforderungen ab.
Wie schätzen Sie die Situation in Sachen NIS2 ein?
Es herrscht noch ein gewisses Chaos, meiner Meinung nach. Viele Unternehmen wissen nach wie vor nicht, ob sie unter NIS 2 fallen. Das ist auch nicht so einfach zu beurteilen, weil es unterschiedliche Regelungen dazu gibt. Wir planen eine Kampagne, um gemeinsam mit einem Berater auf NIS 2 aufmerksam zu machen. Das wird eine Gesetzesgrundlage sein, die viele Unternehmen nicht einhalten können. Insbesondere ist dort auch die Geschäftsführerhaftung ein Thema, und ich denke, dass das noch vermehrt kommen wird.
Es ist noch ein bisschen so, dass durch die wiederholten Verschiebungen nicht ganz klar ist, wann das Gesetz in Kraft tritt. Deswegen gibt es noch eine gewisse Verzögerung. Die Anforderungen werden aber sehr ähnlich sein wie die Anforderungen der Versicherung. Eine Versicherung abzuschließen, kann einen Geschäftsführer grundsätzlich nicht von seiner Haftung entlasten. Grundsätzlich müssen sich Entscheidungsträger mit dem Thema Cybersecurity beschäftigen. Wir sehen den Abschluss einer Versicherung jedenfalls als Ergänzung mit nur positiven Auswirkungen.
Wie sieht Ihr Zukunftsausblick aus? Ich nehme an, Security wird ein Thema bleiben, das man nie vollständig in den Griff bekommen wird. Werden Cyberversicherungen Standard in Unternehmen, sodass man sagt, es muss eine Cyberversicherung geben, um Daten wiederherzustellen oder möglicherweise mit einem Angreifer zu verhandeln? Wie glauben Sie, entwickelt sich der Markt?
Es gibt unterschiedliche Einschätzungen. Ich persönlich denke, dass Cyberversicherungen die Sachversicherung des 21. Jahrhunderts sein werden. Insbesondere für Betriebsunterbrechungen ist das eigentlich das größte Risiko. Es gibt auch Maschinenbruch oder andere Risiken, die zu einer Betriebsunterbrechung führen können. Aber heutzutage ist Cyberkriminalität eines der größten Risiken, die zu einer Betriebsunterbrechung führen können. Verschiedene Institute haben dies als Top-1-Risiko weltweit eingestuft.
Ich bin überzeugt von der Versicherung, weil sie tatsächlich eine Ergänzung und eine zusätzliche letzte Absicherung für Worst-Case-Szenarien darstellt. Es ist nicht die Frage, ob etwas passiert, sondern wann. In den meisten Fällen, die ich gesehen habe, ging es um Schäden im Millionenbereich. Diese Schäden resultieren aus verschiedenen Bereichen wie Betriebsunterbrechung und Haftpflichtschäden. Wenn man all diese Kosten zusammenrechnet, kommt man auf Millionenbeträge. Das kann für viele Unternehmen existenzbedrohend sein. Diese Kosten fallen ohnehin an, also warum nicht versichern?
Es ist auch wichtig, dass eine Cyberversicherung nicht nur als finanzielle Hilfe betrachtet wird. Bereits im Prozess zum Abschluss wird man viel bewusster. Es ist eigentlich schon eine Art Cyber-Security-Beratung, bei der sich das Unternehmen mit dem Thema beschäftigt. Im Schadensfall bekommt man tatsächlich ein Rettungsteam. In der KPMG Cybersecurity-Studie dieses Jahres habe ich gelesen, dass IT-Verantwortliche bei einem Krisenfall oder einem Incident psychisch belastet sind. Das ist natürlich so, ich habe auch schon ein paar Schadensfälle erlebt. Der Druck ist da, es ist nicht greifbar, was passiert. Man muss viele Entscheidungen treffen. Das ist auch für die Geschäftsführung ein großes Thema. Letztendlich ist es eine Erleichterung für die Geschäftsführung, wenn sie weiß, dass sie Hilfe von der Versicherung hat.
Wir sehen immer mehr, dass Geschäftspartner, insbesondere aus den USA, eine Versicherungsbestätigung verlangen. Auch wenn eine Versicherung die präventiven Maßnahmen nicht ersetzt, ist sie eine Bestätigung dafür, dass man sich mit diesem Thema beschäftigt hat und eine Absicherung hat. Wir sehen auch eine sehr große Entwicklung, was die Marktdurchdringung betrifft. Die Versicherer bieten jetzt wieder Kapazitäten an, und es werden immer mehr Abschlüsse getätigt. Der Markt entwickelt sich rasant, und Cyberversicherungen werden global immer häufiger abgeschlossen, auch in Österreich.
Über KOBAN SÜDVERS
KOBAN SÜDVERS ist ein international tätiges Versicherungsberatungsunternehmen mit Standorten in Österreich, Deutschland und der Schweiz. Das inhabergeführte Unternehmen betreut an 20 Standorten ein Prämienvolumen von 630 Mio. Euro und zählt zu den Top Drei Versicherungsmaklern in Österreich. KOBAN SÜDVERS unterstützt Unternehmen aller Größen, häufig mittelständische, familiengeführte Betriebe, in allen Versicherungsfragen – von Risikoanalyse und Risikotransfer bis zur Schadensabwicklung. Über 50.000 österreichische Privat- und Firmenkunden sowie öffentliche Körperschaften vertrauen auf die Expertise des Unternehmens. KOBAN SÜDVERS ist Mitglied des Worldwide Broker Network (WBN).
Be the first to comment